Konfigurieren der Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff

In komplexen Bereitstellungen müssen Organisationen Authentifizierungssitzungen manchmal einschränken. Einige mögliche Szenarien:

  • Ressourcenzugriff von einem nicht verwalteten oder freigegebenen Gerät
  • Zugriff auf vertrauliche Informationen von einem externen Netzwerk aus
  • Intensive Systembenutzer
  • Unternehmenskritische Geschäftsanwendungen

Mit Steuerungen für den bedingten Zugriff können Sie Richtlinien erstellen, die auf spezifische Anwendungsfälle in Ihrer Organisation ausgerichtet sind, ohne alle Benutzer zu beeinflussen.

Bevor wir auf die Details zur Konfiguration der Richtlinie eingehen, betrachten wir die Standardkonfiguration.

Anmeldehäufigkeit von Benutzern

Die Anmeldehäufigkeit bezeichnet den Zeitraum, bevor ein Benutzer beim Zugriff auf eine Ressource aufgefordert wird, sich erneut anzumelden.

Die Standardkonfiguration von Azure Active Directory (Azure AD) sieht für die Anmeldehäufigkeit von Benutzern ein rollierendes Zeitfenster von 90 Tagen vor. Benutzer häufig zur Eingabe von Anmeldeinformationen aufzufordern, kann einerseits sinnvoll sein, andererseits aber auch das Gegenteil bewirken: Benutzer, die es gewohnt sind, ihre Anmeldeinformationen ohne Überlegung einzugeben, können diese auch versehentlich bei einer schädlichen Anmeldeaufforderung eingeben.

Es klingt vielleicht beunruhigend, keine erneute Anmeldung von einem Benutzer zu fordern, tatsächlich wird die Sitzung bei einer Verletzung der IT-Richtlinien jedoch gesperrt. Einige Beispiele beinhalten (sind aber nicht beschränkt auf) eine Kennwortänderung, ein nicht kompatibles Gerät oder eine Kontodeaktivierung. Sie können Benutzersitzungen auch explizit mit PowerShell sperren. Die Standardkonfiguration von Azure AD basiert auf dem Grundprinzip „Benutzer nicht zur Angabe ihrer Anmeldeinformationen auffordern, solange der Sicherheitsstatus ihrer Sitzung unverändert ist“.

Die Einstellung für die Anmeldehäufigkeit funktioniert bei Apps mit standardkonformer Implementierung des OAuth2- oder OIDC-Protokolls. Die meisten nativen Microsoft-Apps für Windows, Mac und mobile Umgebungen, einschließlich der folgenden Webanwendungen, sind mit der Einstellung kompatibel.

  • Word, Excel, PowerPoint Online
  • OneNote Online
  • Office.com
  • Microsoft 365-Verwaltungsportal
  • Exchange Online
  • SharePoint und OneDrive
  • Teams-Webclient
  • Dynamics CRM Online
  • Azure-Portal

Die Einstellung für die Anmeldehäufigkeit funktioniert auch mit SAML-Anwendungen von Drittanbietern und Apps, die das OAuth2- oder OIDC-Protokoll implementieren, solange diese nicht die eigenen Cookies löschen und in regelmäßigen Abständen zur Authentifizierung an Azure AD umgeleitet werden.

Anmeldehäufigkeit von Benutzern und mehrstufige Authentifizierung

Die Anmeldehäufigkeit wurde bisher nur für die einstufige Authentifizierung auf Geräten angewendet, die in Azure AD oder Azure AD Hybrid eingebunden und bei Azure AD registriert waren. Es gab keine einfache Möglichkeit für unsere Kunden, die mehrstufige Authentifizierung (MFA) auf diesen Geräten erneut zu erzwingen. Aufgrund des Kundenfeedbacks wird die Anmeldehäufigkeit jetzt auch auf die mehrstufige Authentifizierung angewendet.

Anmeldehäufigkeit und MFA

Anmeldehäufigkeit von Benutzern und Geräteidentitäten

Bei in Azure AD oder hybrid in Azure AD eingebundenen oder bei Azure AD registrierten Geräten fallen auch Entsperrvorgänge von Geräten und interaktive Anmeldungen von Besuchern unter die Richtlinie für die Anmeldehäufigkeit. In den folgenden beiden Beispielen ist die Anmeldehäufigkeit von Benutzern auf 1 Stunde festgelegt:

Beispiel 1:

  • Um 00:00 Uhr meldet sich ein Benutzer bei seinem in Azure AD eingebundenen Windows 10-Gerät an und beginnt mit der Bearbeitung eines in SharePoint Online gespeicherten Dokuments.
  • Der Benutzer arbeitet auf seinem Gerät eine Stunde an diesem Dokument.
  • Um 01:00 Uhr wird der Benutzer basierend auf der vom Administrator in der Richtlinie für bedingten Zugriff konfigurierten Anmeldehäufigkeitsanforderung zur erneuten Anmeldung aufgefordert.

Beispiel 2:

  • Um 00:00 Uhr meldet sich ein Benutzer bei seinem in Azure AD eingebundenen Windows 10-Gerät an und beginnt mit der Bearbeitung eines in SharePoint Online gespeicherten Dokuments.
  • Um 00:30 Uhr steht der Benutzer auf und macht eine Pause, wobei er sein Gerät sperrt.
  • Um 00:45 Uhr kehrt der Benutzer aus seiner Pause zurück und entsperrt das Gerät.
  • Um 01:45 Uhr wird der Benutzer basierend auf der vom Administrator in der Richtlinie für bedingten Zugriff konfigurierten Anmeldehäufigkeitsanforderung zur erneuten Anmeldung aufgefordert, weil die letzte Anmeldung um 00:45 Uhr erfolgte.

Erneute Authentifizierung jedes Mal erforderlich

Es gibt Szenarien, in denen Kunden möglicherweise eine neue Authentifizierung anfordern möchten, jedes Mal, wenn ein Benutzer bestimmte Aktionen ausführt. Die Anmeldehäufigkeit verfügt über eine neue Option für Jedes Mal zusätzlich zu Stunden oder Tagen.

Unterstützte Szenarien:

Wenn Administratoren Jedes Mal auswählen, ist eine vollständige erneute Authentifizierung erforderlich, wenn die Sitzung ausgewertet wird.

Persistenz von Browsersitzungen

Bei einer persistenten Browsersitzung können Benutzer angemeldet bleiben, nachdem sie ihr Browserfenster geschlossen und erneut geöffnet haben.

Durch die Azure AD-Standardeinstellung für die Persistenz von Browsersitzungen können Benutzer auf persönlichen Geräten wählen, ob die Sitzung beibehalten wird, indem nach der erfolgreichen Authentifizierung die Aufforderung „Angemeldet bleiben?“ angezeigt wird. Wenn Sie die Browserpersistenz in AD FS mithilfe der Anleitung im Artikel AD FS: Einstellungen für einmaliges Anmelden konfigurieren, wird diese Richtlinie berücksichtigt und die Azure AD-Sitzung ebenfalls beibehalten. Sie können auch konfigurieren, ob Benutzer in Ihrem Mandanten die Aufforderung „Angemeldet bleiben?“ erhalten. Dazu müssen Sie die entsprechende Einstellung im Bereich Unternehmensbranding ändern.

Konfigurieren von Steuerungen für Authentifizierungssitzungen

Der bedingte Zugriff ist eine Azure AD Premium-Funktion und erfordert eine Premium-Lizenz. Weitere Informationen zum bedingten Zugriff finden Sie unter Was ist bedingter Zugriff in Azure Active Directory?

Warnung

Wenn Sie die derzeit in der Public Preview verfügbare Funktion für die konfigurierbare Tokengültigkeitsdauer verwenden, sollten Sie beachten, dass die Erstellung von zwei verschiedenen Richtlinien für dieselbe Benutzer- oder App-Kombination nicht unterstützt wird: eine mit dieser Funktion und eine andere mit der konfigurierbaren Tokengültigkeitsdauer. Microsoft hat die Funktion für die konfigurierbare Tokengültigkeitsdauer bei den Lebensdauern von Aktualisierungs- und Sitzungstoken am 30. Januar 2021 außer Betrieb genommen und durch die Funktion für die Verwaltung von Authentifizierungssitzungen mit bedingtem Zugriff ersetzt.

Stellen Sie vor dem Aktivieren der Anmeldehäufigkeit sicher, dass andere Einstellungen für die erneute Authentifizierung in Ihrem Mandanten deaktiviert sind. Wenn „MFA auf vertrauenswürdigen Geräten speichern“ aktiviert ist, deaktivieren Sie diese Option vor dem Verwenden der Anmeldehäufigkeit, da die Verwendung dieser beiden Einstellungen dazu führen kann, dass Benutzer unerwartet aufgefordert werden. Weitere Informationen zu Eingabeaufforderungen für die erneute Authentifizierung und zur Sitzungslebensdauer finden Sie im Artikel Optimieren von Aufforderungen für die erneute Authentifizierung und Grundlegendes zur Sitzungslebensdauer für Azure AD Multifactor Authentication.

Richtlinienbereitstellung

Um die erwartete Funktionsweise der Richtlinie sicherzustellen, empfiehlt es sich, sie zu testen, bevor Sie sie in der Produktionsumgebung verwenden. Idealerweise sollten Sie in einem Testmandanten überprüfen, ob die neue Richtlinie wie erwartet funktioniert. Weitere Informationen finden Sie im Artikel Planen einer Bereitstellung für bedingten Zugriff.

Richtlinie 1: Steuerung der Anmeldehäufigkeit

  1. Melden Sie sich beim Azure-Portal als globaler Administrator, Sicherheitsadministrator oder Administrator für bedingten Zugriff an.

  2. Navigieren Sie zu Azure Active DirectorySicherheitBedingter Zugriff.

  3. Wählen Sie Neue Richtlinie.

  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.

  5. Wählen Sie alle erforderlichen Bedingungen für die Kundenumgebung aus, einschließlich der Cloud-Apps, die als Ziel dienen.

    Hinweis

    Es wird empfohlen, für Authentifizierungsaufforderungen bei wichtigen Microsoft Office-Apps wie Exchange Online und SharePoint Online dieselbe Häufigkeit festzulegen, um eine optimale Benutzererfahrung zu gewährleisten.

  6. Unter Zugriffssteuerungen>Sitzung.

    1. Wählen Sie die Anmeldehäufigkeit .
      1. Wählen Sie Regelmäßige Neuauthentifizierung aus, geben Sie Stunden oder Tagen als Wert ein, oder wählen Sie Jedes Mal aus.
  7. Speichern Sie die Richtlinie.

    Richtlinie für bedingten Zugriff, die für die Anmeldehäufigkeit konfiguriert ist

Richtlinie 2: Persistente Browsersitzung

  1. Melden Sie sich beim Azure-Portal als globaler Administrator, Sicherheitsadministrator oder Administrator für bedingten Zugriff an.

  2. Navigieren Sie zu Azure Active DirectorySicherheitBedingter Zugriff.

  3. Wählen Sie Neue Richtlinie.

  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.

  5. Wählen Sie alle erforderlichen Bedingungen aus.

    Hinweis

    Beachten Sie, dass die Auswahl von „Alle Cloud-Apps“ als Bedingung bei dieser Steuerung erforderlich ist. Die Browsersitzungspersistenz wird durch das Token der Authentifizierungssitzung gesteuert. Da alle Registerkarten in einer Browsersitzung über dasselbe Sitzungstoken verfügen, müssen sie alle denselben Persistenzzustand aufweisen.

  6. Unter Zugriffssteuerungen>Sitzung.

    1. Wählen Sie persistente Browsersitzung.

      Hinweis

      Wenn Sie beide Richtlinien konfiguriert haben, wird die Einstellung „Angemeldet bleiben?“, die Sie im Azure-Portal im Bereich für Unternehmensbranding für denselben Benutzer festgelegt haben, durch die Konfiguration der persistenten Browsersitzung unter „Bedingter Azure AD-Zugriff“ außer Kraft gesetzt.

    2. Wählen Sie einen Wert aus der Dropdownliste aus.

  7. Speichern Sie die Richtlinie.

Richtlinie 3: Steuerelement der Anmeldehäufigkeit bei jedem riskanten Benutzer

  1. Melden Sie sich beim Azure-Portal als globaler Administrator, Sicherheitsadministrator oder Administrator für bedingten Zugriff an.
  2. Navigieren Sie zu Azure Active DirectorySicherheitBedingter Zugriff.
  3. Wählen Sie Neue Richtlinie.
  4. Benennen Sie Ihre Richtlinie. Es wird empfohlen, dass Unternehmen einen aussagekräftigen Standard für die Namen ihrer Richtlinien erstellen.
  5. Wählen Sie unter Zuweisungen die Option Benutzer- oder Workloadidentitäten aus.
    1. Wählen Sie unter Einschließen die Option Alle Benutzer aus.
    2. Wählen Sie unter Ausschließen die Option Benutzer und Gruppen und dann die Konten für den Notfallzugriff Ihrer Organisation aus.
    3. Wählen Sie Fertigaus.
  6. Wählen Sie unter Cloud-Apps oder -aktionen>Einschließen die Option Alle Cloud-Apps aus.
  7. Legen Sie unter Bedingungen>Benutzerrisiko die Option Konfigurieren auf Jafest. Wählen Sie unter Hiermit konfigurieren Sie die Benutzerrisikostufen, die für die Erzwingung der Richtlinie erforderlich sind die Option Hoch und dann Fertig aus.
  8. Wählen Sie unter Zugriffssteuerungen>Erteilen die Option Zugriff erteilen, dann Kennwortänderung erforderlich und anschließend Auswählen aus.
  9. Wählen Sie unter Sitzungssteuerelemente>Anmeldehäufigkeit die Option Jedes Mal aus.
  10. Bestätigen Sie die Einstellungen, und legen Sie Richtlinie aktivieren auf Nur Bericht fest.
  11. Wählen Sie Erstellen aus, um die Richtlinie zu erstellen und zu aktivieren.

Nachdem Sie Ihre Einstellungen mit dem Nur Bericht-Modus bestätigt haben, kann ein Administrator den Schalter Richtlinie aktivieren von Nur Bericht auf Ein setzen.

Überprüfen

Verwenden Sie das What If-Tool, um eine Anmeldung des Benutzers bei der Zielanwendung und weitere Bedingungen zu simulieren, die sich nach der Konfiguration Ihrer Richtlinie richten. Die Steuerungen für die Verwaltung von Authentifizierungssitzungen werden in den Ergebnissen des Tools angezeigt.

Aufforderungstoleranz

Wir setzen uns für fünf Minuten Zeitneigung ein, sodass Benutzer nicht häufiger als einmal alle fünf Minuten aufgefordert werden. Wenn der Benutzer die MFA in den letzten 5 Minuten ausgeführt hat und er eine andere Richtlinie für bedingten Zugriff getroffen hat, die eine erneute Authentifizierung erfordert, wird der Benutzer nicht aufgefordert. Die Überförderung von Benutzern für die erneute Authentifizierung kann sich auf ihre Produktivität auswirken und das Risiko erhöhen, dass Benutzer MFA-Anforderungen genehmigen, die sie nicht initiiert haben. Verwenden Sie „Anmeldehäufigkeit > Jedes Mal" nur für bestimmte Geschäftsanforderungen.

Bekannte Probleme

  • Wenn Sie die Anmeldehäufigkeit bei mobilen Geräten konfigurieren, kann die Authentifizierung nach jedem Intervall für die Anmeldehäufigkeit länger dauern (durchschnittlich etwa 30 Sekunden). Außerdem kann dies über verschiedene Apps gleichzeitig geschehen.
  • Bei iOS-Geräten: Wenn in einer App Zertifikate als erster Authentifizierungsfaktor konfiguriert wurden und für die App sowohl Richtlinien für die Anmeldehäufigkeit als auch für die Verwaltung mobiler Anwendungen in Intune gelten, werden Endbenutzer beim Anmelden in der App gesperrt, wenn die Richtlinie ausgelöst wird.

Nächste Schritte